微软面临安全社区对噩梦 Eclipse 的反弹

微软公开威胁要对六起 Windows 零日事件背后的研究人员提起刑事指控，这使得一场漏洞纠纷变成了安全社区的全面反击。

这位名为 "噩梦日蚀"（Nightmare Eclipse）的研究人员在未与微软协调的情况下，于 2026 年 4 月初至 5 月中旬发布了六个 Windows 漏洞的武器化概念验证代码。其中，BlueHammer、RedSun 和 UnDefend 三个漏洞已在实际攻击中被利用。YellowKey、GreenPlasma 和 MiniPlasma 仍未打补丁。

微软反击

微软于5 月 28 日，微软发表了一篇正式博文，称这些披露 "毫无道理"，并警告其数字犯罪部门将对任何通过漏洞利用代码从事犯罪活动的人提起诉讼。公司指责研究人员绕过了漏洞披露的协调标准。

Nightmare Eclipse对此提出异议。该研究人员声称，微软删除了用于提交原始漏洞报告的安全响应中心账户，并拒绝进一步联系。"该研究人员写道："你们真的删除了我用来向你们报告漏洞的微软账户，而我从这样做中得到的报酬为零。

社区的反击

安全行业并不支持微软。凯蒂-穆索里斯（Katie Moussouris）是微软漏洞悬赏计划的先驱，也是该公司现在采用的协调披露框架的创始人，她公开批评了Bluesky上的这篇博文。她写道，援引 "负责任的披露 "是第一个问题。加入数字犯罪部门的起诉威胁使问题变得更糟，并会使研究人员不再信任微软。

前微软安全工程师凯文-博蒙特（Kevin Beaumont）称这种情况是 "他们自己制造的垃圾场火灾"，并指出微软之前在SandboxEscaper在没有警告的情况下发布了零日漏洞代码后雇佣了她，现在雷德蒙德将这种行为描述为犯罪。

仍未修补的漏洞及下一步行动

噩梦 Eclipse在 5 月 23 日前后被禁止访问 GitHub，5 月 26-27 日被禁止访问 GitLab，现在通过个人博客发布。7 月 14 日发布的针对 7 月补丁星期二的漏洞利用程序仍是一个威胁，警告称会升级到远程代码执行漏洞。

管理员应将 YellowKey、GreenPlasma 和 MiniPlasma为活动风险。对于 YellowKey，Microsoft 的缓解措施要求手动编辑脱机 WinRE 注册表 hive，并从 BootExecute 值中删除 autofstx.exe。

TPM+PIN 预启动配置可完全切断物理提取路径。卫士引擎1.1.26040.8或更高版本可处理RedSun和UnDefend，且更新无需等待计划维护窗口。